Dua periset Jerman mengatakan bahwa mereka telah mengekspos kebiasaan penjelajahan pornografi seorang hakim, penyelidikan kejahatan cyber dan preferensi obat seorang politisi.
Pasangan ini memperoleh sejumlah besar informasi tentang kebiasaan browsing tiga juta warga Jerman dari perusahaan yang mengumpulkan “clickstreams”.
Ini adalah catatan rinci tentang di mana saja orang online.
Para periset tersebut berpendapat bahwa data semacam itu – yang beberapa perusahaan meraup dan digunakan untuk menargetkan iklan – harus dilindungi.
Data tersebut seharusnya dianonimkan, namun analisis menunjukkan bahwa data tersebut dapat dengan mudah dikaitkan dengan individu.
Riwayat penjelajahan orang sering digunakan untuk menyesuaikan kampanye pemasaran.
Menghubungkan daftar
Hasil penelitian oleh Svea Eckert dan Andreas Dewes terungkap pada konferensi hacking Def Con di Las Vegas akhir pekan ini.
Pasangan ini menemukan bahwa 95% data yang mereka dapatkan berasal dari 10 ekstensi browser populer.
“Apa yang dilakukan perusahaan-perusahaan ini ilegal di Eropa tapi mereka tidak peduli,” kata Ms Eckert, menambahkan bahwa penelitian tersebut telah memulai sebuah debat di Jerman tentang bagaimana cara mengekang kebiasaan mengumpulkan data dari perusahaan.
Sebelum data digunakan untuk menyesuaikan rentang iklan yang dilihat orang, informasi apa pun yang dapat digunakan untuk mengidentifikasi dengan tepat siapa yang menghasilkan klik seharusnya dihapus.
Namun, kata Dewes, itu “sepele” – yang berarti mudah – untuk mengikat informasi secara langsung kepada orang-orang dan mengungkapkan dengan tepat ke mana mereka pergi online, istilah yang mereka telusuri dan barang-barang yang mereka beli.
Data yang dianalisis oleh pasangan tersebut menghubungkan daftar situs dan tautan yang dikunjungi ke pengenal pelanggan. Namun, katanya, dengan memanfaatkan informasi publik bahwa orang-orang berbagi tentang kebiasaan browsing mereka, menjadi mungkin untuk menghubungkan entri itu dalam daftar ke individu.
“Dengan hanya beberapa domain Anda dapat dengan cepat menelusuri data hanya untuk beberapa pengguna,” katanya.
Informasi publik mencakup tautan orang yang dibagikan melalui Twitter, video YouTube yang mereka laporkan menonton, artikel berita yang mereka lewati melalui media sosial atau saat mereka memposting foto online barang yang mereka beli atau tempat yang mereka kunjungi.
Dalam banyak kasus, katanya, lebih mudah untuk tidak menyebutkan namanya karena clickstream berisi link ke halaman admin media sosial pribadi orang-orang yang secara langsung mengungkapkan identitas mereka.
“Informasi publik tersedia tentang pengguna berkembang sehingga semakin mudah untuk menemukan informasi untuk melakukan de-anonymisation,” katanya. “Sangat sulit untuk tidak menyebutkan namanya bahkan jika Anda berniat melakukannya.
Data berbahaya
Informasi tersebut mengungkapkan potret intim dari kebiasaan browsing orang, kata Ms Eckert.
“Ini bisa sangat menyeramkan untuk disalahgunakan,” katanya, “Anda bisa memiliki buku alamat dan hanya mencari orang dengan nama mereka dan melihat semua yang mereka lakukan.”
Dalam banyak kasus kebiasaan browsing tidak mengekspos sesuatu yang ilegal tapi mungkin terbukti sulit bagi figur publik untuk menjelaskan atau membenarkan, katanya. Dalam beberapa kasus, hal itu bisa membuat mereka terbuka untuk memeras.
“Setelah proyek penelitian kami menghapus data karena kami tidak ingin lagi dekat dengan tangan kami,” katanya. “Kami takut kita akan diretas.”
Ketika ditanya tentang rencana Inggris untuk membuat ISP mengumpulkan clickstream pada setiap orang Inggris untuk tujuan keamanan, Ms Eckert mendesak pemerintah untuk membatasi berapa lama informasi tersebut dapat disimpan.
“Jika Anda kuat dalam perlindungan data maka Anda seharusnya tidak diijinkan melakukannya,” katanya, “Tapi untuk tujuan keamanan, mungkin Anda bisa menahannya untuk sementara waktu.”
Membatasi berapa lama waktu yang dibutuhkan akan mengurangi kerusakan jika clickstreams bocor atau hacked, katanya.
“Anda harus sangat berhati-hati,” katanya, “Sangat berbahaya.”
